banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: pnco  XML
Profile for pnco Messages posted by pnco [ number of posts not being displayed on this page: 7 ]
 
Yes smilie
Thanks anh conmale nhiều, đúng cái mình cần. Trên thực tế thì em đang triển khai theo hướng này.

conmale wrote:
Nói về tính dễ quản lý thì hơi khó vì tùy vào nhu cầu khách hàng và tùy vào công nghệ được ứng dụng. 

Dễ quản lý ở đây là ở phía nhà cung cấp dịch vụ đó anh, tuy nhiên như anh đã nói nó phụ thuộc rất nhiều vào dịch vụ sẽ được triển khai.

conmale wrote:
Nói về tính bảo mật và hiệu năng thì phải khai triển chi tiết từng dịch vụ. 

Đối với công việc thiết kế này, em nghĩ rằng bảo mật và hiệu năng chỉ gói gọn ở lớp mạng, còn đối với các lớp cao hơn thì nó sẽ phụ thuộc vào dịch vụ. Em sẽ cố gắng đưa ra 1 số mô hình mẫu để anh em thảo luận tiếp.
Theo tình hình này bác TQN cũng không nên giải thích làm gì nữa, chỉ giống như đàn gãy tai trâu thôi. Đề nghị mod nào tiện tay lock lại hay cho vào Trash luôn càng tốt.
@jforum3000: cám ơn bạn đã góp ý, mình đã chỉnh lại smilie
@Mr.Bi: giấu nghề quá smilie mô hình thiết kế thì anh đã vẽ mấy mẫu rồi nhưng chưa vừa ý nên quăng hết rồi, để hôm nào rảnh vẽ lại.

tiendungitd wrote:
làm như thế nào bạn. Thật sự mình không biết bắt mail mà relay qua như thế nào. 

Vậy cho hỏi bạn thật sự muốn bảo mật email hay là muốn "bắt mail mà relay qua" ?

tiendungitd wrote:
Còn khi mail đã gửi tới domain đích rùi admin muốn đọc mail của user thì quá đơn giản. 

Vậy admin muốn đọc mail thì làm như thế nào?
Mình không biết có đọc trộm được mail của b không? và bằng cách nào. 

Rất đơn giản bạn à, chỉ cần forward đến 1 địa chỉ (local hoặc remote) là cũng có thể đọc được rồi. Ngay cả khi bạn không relay, tức là mail server của bạn gửi thẳng đến đích, vd yahoo, hay google bạn nghĩ admin của yahoo hay google có đọc được mail của bạn không smilie
Bạn đã biết rõ vậy, sao còn hỏi lại?
Bạn muốn an toàn cho mail hãy tìm hiểu về http://en.wikipedia.org/wiki/Pretty_Good_Privacy hoặc http://en.wikipedia.org/wiki/GNU_Privacy_Guard.
Thanks Mr.Bi đã tham gia góp ý.
Mô hình của em rất phù hợp với ...trung tâm dữ liệu, còn cái nhu cầu của anh thì chỉ là hosting nho nhỏ thôi. Em nói đúng 100 server không nhiều, chỉ khoảng 2, 3 tủ rack thôi sao so với trung tâm dữ liệu được. Ở việt nam hiện nay đang có 1 dự án trung tâm dữ liệu với quy mô 5000 tủ rack, tính sơ sơ cũng cỡ 210.000 cái server smilie
Em cũng từng làm việc cho cty web-hosting, tuy nhiên quản lí chỉ một "cụm" nhỏ, vả lại lúc vào làm thì hệ thống đã được thiết kế sẵn và vận hành rồi, nên em không có kinh nghiệm trong chuyện này. 

Tốt quá, em có kinh nghiệm gì chia sẻ để anh cùng mọi người học hỏi với. Những kinh nghiệm từ thực tế như thế này rất đáng giá, em có thể đưa ra điểm mạnh hay yếu từ mô hình đó.
Tuy nhiên em có một ít ý kiến thế này:
-Để dễ quản lí, ta nên chia 100 servers thành những cụm nhỏ (ví dụ 10 cụm, mỗi cụm 10 server) và thiết kế trên từng mô hình nhỏ sẽ dễ dàng hơn. Khi tìm được giải pháp cho 1 cụm, ta chỉ việc áp dụng giải pháp này trên các cụm khác, nhanh chóng và tiện lợi. Đây chỉ là ý kiến riêng của em. 

Cái mô hình trên nó chia theo logic ứng dụng đó chứ không phải chia theo kiểu vật lý đâu. Nếu chia theo kiểu vật lý thì sẽ lãng phí tài nguyên + với việc khi hệ thống phát triển lên thì sự phức tạp vẫn y như cũ smilie
Để anh giải thích lại 1 chút, dự án hosting này sẽ đặt tại 1 trung tâm dữ liệu nên phần kết nối core mình không cần quan tâm, mình chỉ quan tâm đến phần của mình tức là từ phía sau kết nối từ trung tâm dữ liệu đến bên mình. Trong mô hình trên thì nó là phần custommer network là phần mình phải thiết kế chi tiết.
Em có ý kiến gì giúp anh không? smilie
Bạn nên tìm hiểu về mạng (tốt nhất là đọc cuốn tcp/ip trong thư viện của HVA). iptables hoạt động ở layer 3 trong mô hình tcp/ip, còn các ứng dụng web,mail,... hoạt động ở layer 4 nên iptables không thể can thiệp được. Nếu muốn chặn virus hay trojan thì phải kết hợp iptables với 1 ứng dụng khác hoạt động ở layer 4.
Xem thêm:
http://lists.netfilter.org/pipermail/netfilter/2004-September/055853.html
http://www.linux-tip.net/cms/content/view/294/26/
http://www.linux-tip.net/cms/content/view/297/26/
Chào bà con HVA.

Hiện nay mình đang có nhu cầu đầu tư 1 hệ thống hosting, thiết bị thì đã có cả rồi nhưng ngặt nỗi chưa thiết kế được mô hình nào ưng ý. Mình mở topic này mong mọi người có thể đóng góp các ý kiến khác nhau về các mô hình thiết kế phù hợp.

Nhu cầu:
- Thiết kế hệ thống hosting với khoảng 100 server.
- Hệ thống cung cấp các dịch vụ thông dụng như: web, mail, dns, vps, dedicated server,...
- Đảm bảo tính sẵn sàng cao, độ tin cậy, mềm dẻo, dễ triển khai hoặc thay đổi, dễ quản lý và tất nhiên là phải bảo mật, hiệu năng.

Các thiết bị mạng như switch, firewall, load balancing, reverse proxy,... có thể tùy ý thêm vào hệ thống với mục đích cuối cùng là đạt được các tiêu chí ở trên.

tranduyninh wrote:
cả tuần mới có dịp lên mạng , vào hva thấy bị nhắc nhở buồn quá . cũng lưu ý các bạn là khi mình dùng cách trên với broadcom wireless thì nó cứ trơ ra . 

Buồn gì, có người nhắc nhở chứng tỏ là có người quan tâm tới bạn.
Ây da, lâu lâu mới thấy 1 bài hay hay, để bữa nào nghịch thử xem sao 

Nghe câu này thấy không buồn chứ smilie
Tóm lại, tôi có một góp ý là bạn nên "thử" thực hiện bài hướng dẫn này trên môi trường thật. Sau đó sửa lại bài viết, chú ý định dạng cho cẩn thận. 

Bạn nên cảm thấy quý trọng những lời góp ý chân thành như thế này, nó sẽ giúp bạn tiến bộ hơn lên.
Ờ chiêu thì không phải không có, nhưng mà áp dụng nó cũng khá tốn kém, chi bằng đãi tên ác min 1 chầu coi bộ đỡ tốn hơn smilie
Nếu bạn không là người khác thường, thì xin hãy chọn con đường người bình thường đã qua. 

Quá hay.
Lúc tuổi trẻ thường bồng bột, luôn nghĩ rằng mình là người khác thường. Sau này nghiệm lại, chậc, mình cũng chỉ là người bình thường smilie

@all: gamma có vóc dáng như hiện nay là nhờ được đào tạo ở trường phục hồi nhân phẩm đó. Thế mới biết trường học nào cũng tốt cả.

_VoT_ wrote:
@pnco: Mình đang xài FC9, các link bạn đưa toàn là cho ubuntu. Giả sử nếu mình muốn tìm tài liệu tham khảo soft cho bất cứ 1 distro nào thì phải làm gì ? 

Thì vô HVA hỏi tiếp chứ còn gì nữa smilie
Hình như bạn chưa xem qua mấy cái link mình gửi hoặc có xem nhưng chưa hiểu?? Mấy cái link đó toàn là giới thiệu software như câu hỏi bạn đặt ra ở post đầu tiên, chỉ có cái domain là ubuntu thôi smilie Nếu bạn muốn "tìm tài liệu tham khảo soft" thì cứ google tên cái soft đó, nếu muốn "tìm tài liệu tham khảo distro" thì đọc tài liệu của distro đó. Software là software, distro là distro bạn nên phân biệt 2 cái này. Ngoài ra như Mr.Khoai đã nói distro nào cũng là linux cả, không khác nhau nhiều lắm đâu smilie

_VoT_ wrote:
Mình đang tập chuyển hẳn sang linux nhưng một trong các vấn đề gặp phải là ko biết dùng phần mềm nào thỏa mãn các nhu cầu tương ứng bên window. Tìm kiếm thì thấy rất nhiều, nhưng mình muốn đc tham khảo từ mọi người
Chả hạn nghe nhạc, xem film các định dạng, chỉnh sửa ảnh, cắt ghép nhạc......bạn đang dùng gì?
Nếu ai đã, đang dùng các phần mềm cho linux và cảm thấy hài lòng với nó thì vào đóng góp đc ko? gợi ý tên là đủ rồi
Cám ơn nhiều smilie  

Chào bạn!
Bạn có thể tham khảo những link sau, nó có giới thiệu hầu hết các phần mềm thông dụng dành cho hầu hết các nhu cầu.
https://help.ubuntu.com/community/SoftwareEquivalents
https://help.ubuntu.com/community/WindowsApplicationsEquivalents
https://help.ubuntu.com/community/SoftwareEquivalentsInternet
https://help.ubuntu.com/community/SoftwareEquivalentsMultimedia

mR.Bi wrote:
Vậy thì có cách nào để chống vậy anh? Ban IP? Em nghĩ Ban IP là 1 cách ko hay, hơn nữa kẻ tấn công hoàn toàn có thể thay đổi IP tấn công 1 cách dễ dàng. Không lẽ băng thông của mình mất vô lí như thế mà ko có cách chống đỡ. 

Hì vấn đề cũng không quá quan trọng đến nỗi ban IP đâu em. Cỡ vài ngàn thằng bruce force mình thì họa may traffic mới tăng lên chút ít. Ý anh nói sự vô lý này cũng giống như spam mail, mình phải trả tiền băng thông để nhận mail rác smilie nhưng lại không thể ban IP hay không nhận mail. Tuy nhiên dịch vụ này thì khác, dịch vụ này chỉ dùng cho một số ít người nên từ đầu anh mới đưa ra giải pháp là block hết traffic đến dịch vụ này trừ 1 số host tin cậy. User muốn remote đến thì trước tiên access đến các host này, sau đó mới remote đến server. Nếu chỉ có một vài server cần quản lý thôi thì thay thế bằng 1 software khác an toàn hơn như em đã đề xuất ở trên hoặc điều chỉnh cấu hình như Mr.Khoai đề nghị. Ngoài ra cũng có thể thay đổi port mặc định. Thực tế thì nhiều tên bruce force nó chỉ chạy mấy cái script có sẵn và quét cổng mặc định, sau đó bruce force và chờ kết quả. Do chúng làm việc này với số lượng host lớn nên cũng chẳng quan tâm bị lock hay bị ban gì cả.

mr.bi wrote:
Cách này hay, những lỡ user đi đâu đó rồi remote desktop vào ko được, đè đầu mình ra chửi . 

Các host tin cậy thông thường là bastion host, trên đó có chạy 1 dịch vụ đăng nhập an toàn như vpn hay ssh chẳng hạn.

mr.bi wrote:
Có cách khác thay thế Remote Desktop của Window bằng một app khác an toàn hơn đây chẳng hạn. 

Cách này rất hay, nhưng đối với các server có chạy các ứng dụng quan trọng thì không nên cài đặt quá nhiều software không cần thiết vào đó vì nó sẽ gia tăng công việc cho quản trị viên. Ngay cả 1 phần mềm bảo mật thì cũng có nguy cơ bảo mật đi kèm theo nó. Nếu chỉ có 1 vài server cần phải quản lý thì cách này là tối ưu.

mr.bi wrote:
Nhưng theo em thấy dùng policy Account lockout threshold là cách hữu hiệu nhất, cho login vài lần lần thì lock vài chục phút, dùng password strong một chút, g00gLe* chẳng hạn, có lẽ đã chống được brute force password rồi 

Bruce force đối với admin thì mục đích có lẽ chỉ test độ vững chắc của password thôi nên bruce force cỡ vài giờ mà không ra là nản smilie Nhưng đối với mấy kẻ trục lợi thì khác, tụi nó có đủ kiên nhẫn và thông minh viết 1 vài cái script bruce force tự động. Bởi vậy chúng có thể bruce force hết ngày này qua ngày khác, hết tháng này qua tháng khác. Ngay cả khi mình tự tin với password của mình là không thể bị phá vỡ thì cũng bị thiệt hại băng thông rất vô lý cho chúng.
Nếu áp dụng policy lock account user nếu nhập password sai 1 số lần nhất định thì account sẽ bị lock. Nếu có ai đó bruce force máy mình thì mình cũng không đăng nhập được luôn vì account đã bị lock smilie Ngoài ra đổi port cũng không phải là giải pháp vì có thể biết được dễ dàng với nmap.

vikjava wrote:
vậy làm thế nào để không cho biêt dịch vụ remote desktop đang mở, không cho quét user trên máy. 

Ý này của vikjava là hay nhất. Mình đưa ra 1 ý kiến, dùng firewall block tất cả truy cập đến dịch vụ này trừ 1 số host tin cậy. Mọi người cho thêm ý kiến smilie
Hello ngocxdy!
Bạn hãy tham khảo 2 links sau để có khái niệm sơ bộ về 2 loại firewall này:
http://en.wikipedia.org/wiki/Cisco_PIX
http://en.wikipedia.org/wiki/Cisco_ASA_5500_Series_Adaptive_Security_Appliances
Lưu ý:
In 2005, Cisco introduced the newer Adaptive Security Appliance (ASA), that inherited much of PIX features, and in 2008 annouced PIX end-of-sale. 

Về tài liệu dành cho những loại firewall này bạn có thể tìm trong thư viện của HVA hoặc search ở box tài liệu.
Chà đúng là hơi lạc đề so với yêu cầu của K4i. Nhưng trường hợp của K4i thì mình cũng chỉ biết tư vấn như post đầu tiên thôi.

temporary wrote:
Trong trường hợp này 90% là lỗi do MBR bị cài GRUB 

lỗi do MBR bị cài GRUB là sao? kinh nghiệm của tôi thì cài linux mà không cài grub thì không khởi động được (ở đây không kể đến trường hợp dùng boot manager khác GRUB), không biết ai có kinh nghiệm khác không?

temporary wrote:
MBR chứa các thông tin về partition của HDD 

chưa đầy đủ.

temporary wrote:
hide linux partition chỉ là cẩn thận. 

không cần thiết, vì mbr mà hỏng thì tất cả đều ra đi.
@281: đúng rồi, chỉ là 1 cách trong số nhiều cách cài đặt windows sau khi đã cài linux.
Chà, chắc là quanta muốn đề cập đến computer forensic. Đề tài này rất thú vị nhưng tiếc quá mình không có thời gian ngâm nên vấn đề này chỉ biết ngồi ngó smilie
Về các cách của quanta thì 2 trong số đó có thể bypass là last và .bash_history, ls thì hình như cũng có cách để bypass.
Còn 1 cách nữa: backup mbr. Có thể dùng 1 số công cụ có sẵn của Hiren's hoặc backup từ linux.
~$sudo dd if=/dev/sda of=/path/to/somewhere/backup_mbr bs=512 count=1
Sau khi cài windows xong thì restore mbr, sau đó cấu hình lại grub. Chú ý: đối với cách này thì không được thay đổi cấu trúc partition, nếu muốn thay đổi cấu trúc partition thì chỉ backup 446 byte đầu tiên của mbr.
~$sudo dd if=/dev/sda of=/path/to/somewhere/backup_mbr bs=446 count=1
Tham khảo http://en.wikipedia.org/wiki/Master_boot_record

Lưu ý: người dùng tự chịu trách nhiệm về quyết định của mình smilie)
thử http://xxx.xxx.xxx.xxx/~user/index.html xem smilie có IfModule nhưng có LoadModule chưa?
Theo những gì bạn trình bày thì chỉ liên quan đến phần cứng thôi. Giải pháp: thử thay thế đĩa windows khác.

Tôi có 1 kinh nghiệm vui thế này. Khách hàng của tôi cần cài CentOS lên server (IBM x345) của họ. Việc cài đặt ngon lành nhưng khi khởi động bị lỗi kernel panic. Mất gần 1 tuần search google chán chê, các giải pháp đều đã thử qua cả bao gồm cả việc thay thế phần cứng (ram, network card, hdd) kết quả vẫn vậy. Tôi thử lấy cái CentOS của tôi đưa họ cài thì ok smilie. 1 điều lạ lùng là cái đĩa cài bị lỗi kia cài server khác thì vẫn ok smilie
 
Go to Page:  First Page 1 2 3 5 6 7 Page 8 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|